nDPI 4.6 chega com suporte para novos protocolos, serviços e muito mais

Darkcrizt

Minutos 4

nDPI

nDPI® é uma biblioteca LGPLv3 de código aberto para inspeção profunda de pacotes. Baseado em OpenDPI, inclui extensões ntop.

O lançamento da nova versão do nDPI 4.6 que introduz várias melhorias, bem como suporte para mais protocolos e robustez graças ao código fuzzing introduzido nesta versão. A extração de metadados de protocolo foi aprimorada em vários protocolos, assim como a detecção de DGA em nomes de host, entre outras coisas.

nDPI É caracterizado por ser usado por ntop e nProbe para adicionar a detecção de protocolos na camada de aplicativo, independentemente da porta em uso. Isso significa que é possível detectar protocolos conhecidos em portas não padrão.

O projeto permite que você determine os protocolos de nível de aplicativo usados ​​no tráfego analisando a natureza da atividade de rede sem vincular a portas de rede (você pode determinar protocolos conhecidos cujos drivers aceitam conexões em portas de rede não padrão, por exemplo, se http não é enviado da porta 80, ou, inversamente, quando eles tentam camuflar outro atividade de rede, como http em execução na porta 80).

Principais novos recursos do nDPI 4.6

Na nova versão do nDPI 4.6, capacidade fornecida para definir protocolos personalizados usando filtros nBPF (por exemplo: 'nbpf:»host 192.168.1.1 e porta 80″@HomeRouter').

Também o desempenho da análise de tráfego foi bastante aprimorado, bem como a detecção de código WebShell e PHP em URLs HTTP e a definição de DGA (Domain Generational Algorithm).

A gama de ameaças e problemas de rede detectados foi expandida associado ao risco de compromisso (risco de fluxo). Adicionado suporte para novos tipos de ameaças: NDPI_HTTP_OBSOLETE_SERVER (detecta versões antigas do Apache e nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Outra novidade que se apresenta nesta nova versão são os testes fuzzing implementados juntamente com a verificação aprimorada das instruções AES-NI e melhorias feitas na serialização de dados no formato JSON.

Por outro lado, destaca-se também que estatísticas adicionadas para o cache Patricia, Ahocarasick e LRU, bem como a lógica de vencimento de entrada de cache LRU configurável, suporte para fluxos RTP para transmitir metadados e que o utilitário ndpiReader implementa suporte para o protocolo Linux Cooked Capture v2.

Por parte das adições de suporte para protocolos e serviços:

  • Activision
  • Acesso ao servidor AliCloud
  • Avast
  • CryNetwork
  • Qualquer mesa
  • Bittorrent (correção de confiança, detecção sobre TCP)
  • DNS, adiciona capacidade de decodificar registros DNS PTR usados ​​para resolução de endereço reverso
  • DTLS (lidar com fragmentos de certificado)
  • Chamadas VoIP do Facebook
  • FastCGI (dissecar PARAMS)
  • FortiClient (atualizar portas padrão)
  • Discord
  • EDNS
  • ElasticSearch
  • CGI rápido
  • Kismet
  • Chamadas Liane App e Line VoIP
  • Nuvem Meraki
  • muanin
  • NATPMP
  • subclassificação HTTP
  • Verifique se há user-agent vazio/ausente em HTTP
  • IRC (verificação de credenciais)
  • Jabber / XMPP
  • Kerberos (suporte para mensagens Krb-Error)
  • LDAP
  • MGCP
  • MONGODB (evite falsos positivos)
  • Syncthing
  • Casa Inteligente TP-LINK
  • SUA LAN
  • SoftEther VPN
  • Escala traseira
  • TiVoConnect
  • SNMP
  • SMB (suporte para mensagens divididas em vários segmentos TCP)
  • SMTP (suporte para o comando X-ANONYMOUSTLS)
  • ATORDOAR
  • SKYPE (melhorar a detecção sobre UDP, remover a detecção sobre TCP)
  • Teamspeak3 (detecção de licença/weblist)
  • Threema Mensageiro
  • Zoom
  • Adicionar detecção de compartilhamento de tela de zoom
  • Adicionada detecção de fluxos ponto a ponto do Zoom no STUN
  • Detecção de chamadas Hangout/Duo Voip, busca otimizada na árvore de protocolos
  • HTTP
  • Manipulação de HTTP-Proxy e HTTP-Connect
  • postgres
  • POP3
  • QUIC (suporte para pacotes 0-RTT recebidos antes do inicial)
  • Chamadas Snapchat VoIP

Finalmente se você estiver interessado em saber mais sobre isso Sobre esta nova versão, você pode verificar os detalhes no link a seguir

Como instalar o nDPI no Linux?

Para aqueles que estão interessados ​​em poder instalar esta ferramenta em seu sistema, eles podem fazê-lo seguindo as instruções que compartilhamos abaixo.

Para instalar a ferramenta, devemos baixar o código-fonte e compilá-lo, mas antes disso se forem Debian, Ubuntu ou usuários derivados Destes, devemos primeiro instalar o seguinte:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

No caso daqueles que são Usuários do Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Agora, para compilar, devemos baixar o código-fonte, que você pode obter digitando:

git clone https://github.com/ntop/nDPI.git

cd nDPI

E continuamos a compilar a ferramenta digitando:

./autogen.sh
make

Se você estiver interessado em saber mais sobre o uso da ferramenta, você pode verifique o seguinte link.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.